钢铁行业工控安全纵深防御解决方案——基于IT和OT融合技术构建钢铁行业网络安全防御体系.pdf

1.1案例四：钢铁行业工控安全纵深防御解决方案——基于

IT和OT融合技术构建钢铁行业网络安全防御体系

1.1.1方案概述

本方案针对现有信息系统的安全管理中心、计算环境安全、区域

边界安全和通信网络安全进行合规的总体框架设计。建立以计算环境

安全为基础，以区域边界安全、通信网络安全为保障，以安全管理中

心为核心的信息安全整体保障框架体系，并通过安全监测预警、安全

主动防御、及时安全响应、有效安全恢复的技术手段，将信息系统构

建成具备主动防御、多级防护、纵深防控、整体保护能力的安全、可

靠信息系统。

1.方案背景

钢铁企业主要生产工艺流程有：焦化、炼铁、炼焦制气、炼钢、

钢轧、冷轧薄、动力等；每个工业流程均是由以PLC+工业PC+工业通

讯网络构成的自动化控制系统。PLC系统由PLC控制柜、通讯柜、端

子柜组成。现场来的电缆先接入端子柜,再由端子柜接至PLC，PLC与

上位机通过工业交换机进行数据交换。不同PLC系统与其它PLC系统

有关的连锁信号通过网络通讯完成数据交换。钢铁厂工业以太网一般

采用环网结构，为实时控制网，负责控制器、操作站和工程师站之间

过程控制数据实时通讯，网络上所有操作站、数采机和PLC都采用以

太网接口，网络中远距离传输介质为光缆，本地传输介质为网线（如

PLC与操作站之间）。生产监控主机利用双网卡结构与管理网互联。

钢铁企业的工业控制系统具有多个生产工艺流程混合、控制网络组网

复杂，多种通信方式并存、生产控制系统品牌多、新老系统并存，多

种高级应用分而自治，使得可以被黑客利用的漏洞大量存在。可见，

对于这样的系统网络，不能采用单一的防护策略，需要根据实际情况，

从不同角度和层次应用多种策略进行综合防护。

随着工业互联网和钢铁行业信息化的推进以及MES、EMS、APS等

系统的逐步推广应用，原本相互独立的DCS、PLC、电仪系统、SCADA

等控制子系统需要通过网络与信息系统连接在一起。这些控制子系统

负责完成对高炉控制系统、转炉控制系统、燃烧控制系统、炼钢智能

控制系统、轧薄带智能控制系统、高精度板厚控制系统的采集、存储、

输送等控制任务，一旦受到恶性攻击、病毒感染，就会导致钢铁生产

受到严重影响，甚至造成人员伤亡等严重后果。在钢铁行业统一管理

集中监控的大趋势下，工业控制系统网络的集成度越来越高，与其他

信息网络的互联程度也随之提高。与此同时，未经隔离的网络与主机、

误操作、恶意操作、未授权的接入与操作、未授权的程序安装、系统

资源滥用与误用、外部接口滥用（usb口及其他扩展接口）以及新型

攻击（APT）也对工业控制系统安全带来极大的威胁。如果工业控制

系统不加强主动防护、监测审计、集中监管和预警响应等安全措施的

建设，将在系统中留下大量的安全盲点与灰色地带，给各类外部威胁

留下可乘之机，不但无法对安全事件做到及时响应处置，还非常容易

对生产业务产生严重的影响。

2.方案简介

目前钢铁企业工控系统各个系统之间互联互通密切，随着网络化

的逐渐深入，新的场景也带来了新的风险，钢铁企业目前面临不同的

生产区域之间为了连接的便利性未做有效的区域划分、工业控制通信

协议在设计时通常只强调通信的实时性及可用性对安全性普遍考虑

不足、工控上位机大多数处于“裸奔”状态、软件开发阶段缺少安全

设计软件存在大量的安全漏洞、员工安全意识淡薄等等一系列安全问

题。

依据《网络安全法》、“等保2.0”等现行法规、规范和标准的要

求，在安全分区、网络专用、横向隔离、纵向加密、分级综合防护的

基础上，通过工控网络“智能白名单”形式，对钢铁厂生产控制大区

系统进行自主可控、安全可靠的工控安全整体防护。利用“AI基因，

威胁免疫”安全防护技术构建钢铁厂网络信息安全综合防护架构；完

善钢铁厂生产控制大区工控网络信息安全防护体系，符合工控等保

2.0第三级安全防护要求。

3.方案目标

建立自动化生产系统的安全加固与主动预警的安全防护体系，从

网络层、主机层、系统层、应用层和管理制度等多方面进行主动式威

胁管理，提高工业控制系统整体安全防护等级，保证钢铁企业工业控

制系统的稳定有序运行。

（1）建设工控网络边界安全防护及终端计算环境安全防护

通过技术手段对在工控网络边界部署安全产品，以钢铁生产工艺

流程为单位，对安全生产网络进行安全域的划分，坚持“横向分区、

纵向分层”的原则构建可信工控系统，防护网络攻击与威胁，保证工

业生产系统安全，打造工控安全计算白环境